Die MD5- und SHA1-Prüfsumme wird zum Herunterladen verwendet


8

Ich stelle fest, dass beim Herunterladen vieler Open Source-Tools (Eclipse usw.) Links für MD5- und SHA1-Prüfsummen vorhanden sind und ich nicht wusste, was diese waren oder wozu sie dienen.

Ich weiß, dass es sich um Hashing-Algorithmen handelt, und ich verstehe Hashing. Ich vermute daher nur, dass diese zum Hashing einiger Komponenten der Download-Ziele und zum Vergleich mit "offiziellen" Hash-Strings verwendet werden, die serverseitig gespeichert sind. Vielleicht kann auf diese Weise festgestellt werden, ob die Ziele von ihrer korrekten Version geändert wurden oder nicht (aus Sicherheits- und anderen Gründen).

Bin ich nah dran oder völlig falsch und wenn falsch, was sind sie?!?!

Vielen Dank!

Antworten:


11

Du hast fast vollkommen recht. Die einzige Korrektur besteht darin, dass es sich um Hashes der gesamten Datei handelt.

Manchmal können Dateien während des Downloads beschädigt werden, unabhängig davon, wie sie übertragen werden. Hashes sorgen dafür, dass die Datei intakt ist. Dies ist besonders nützlich für Benutzer mit schlechten Internetverbindungen. Als ich ein Faxmodem verwendete, bekam ich oft Probleme mit beschädigten Downloads.

Einige Download-Manager (wie GetRight, wenn ich mich richtig erinnere) können sogar automatisch den Hash der Datei berechnen und mit dem bekannten Wert vergleichen.

Ein weiterer interessanter Punkt ist die Sicherheit. Ein potenzielles Problem bei Open Source-Tools besteht darin, wie sehr Sie dem Distributor vertrauen können. Oft sind Programme wie Eclipse das Hauptwerkzeug, das von Softwareunternehmen verwendet wird, und daher ist es äußerst wichtig, dass sie intakt vom Entwickler zum Benutzer wechseln. Da es sich bei den Programmen um Open Source-Programme handelt, ist es beispielsweise möglich, eine infizierte Version zu erstellen, die normal aussieht, aber den Quellcode auf einen Remote-Server überträgt oder von der Software erstellte Programme mit einem Virus infiziert (ich denke, dies ist tatsächlich einer Version von Delphi passiert). oder etwas ähnliches. Aus diesem Grund ist es wichtig, einen offiziellen korrekten Hash zu haben, mit dem überprüft werden kann, ob die verteilte Datei den Angaben entspricht.

Einige Gedanken zu Vertriebskanälen. Häufig ist freie Software auf einer großen Anzahl von Websites zu finden, und die beliebtesten Websites wie SourceForge verfügen beispielsweise über eine große Anzahl von Spiegeln. Angenommen, es gibt einen Server in Barland, der eine große Softwareverteilungssite widerspiegelt. FooSoft verwendet das von der Site verteilte Programm und befindet sich in der Republik Baz, direkt neben Barland. Wenn jemand FooSoft infiltrieren wollte, konnte er nur die Kopie bei Barland Mirror ändern und hoffen, dass die Geolocation-Software dann sicherstellen würde, dass FooSoft die geänderten Versionen erhält. Da Versionen von anderen Spiegeln in Ordnung sind, ist die Wahrscheinlichkeit geringer, dass Malware erkannt wird. Sie können Malware auch dazu bringen, die IP-Adresse des Computers zu erkennen und nur zu aktivieren, wenn sie aus einem bestimmten Bereich stammt. Auf diese Weise werden die Chancen auf Entdeckung usw. verringert.


1
+1 Es wird auch aus Sicherheitsgründen verwendet, dh infizierte Dateien ...
BloodPhilia

@BloodPhilia In der Tat. Ich habe nur über einige Sicherheitsgründe geschrieben.
AndrejaKo

Vielen Dank! Ich dachte, es müsste etwas in dieser Richtung sein, konnte aber nirgendwo anders eine solide Antwort finden.
Zac

3
Schöne Antwort;)
BloodPhilia

1

MD5 und SHA1 sind nicht nur Prüfsummen. Sie sind kryptografische Prüfsummen. Dies bedeutet, dass theoretisch zwei verschiedene Dateien dieselbe Prüfsumme haben könnten, aber die Wahrscheinlichkeit dafür ist sehr gering, fast 0. Folglich verwenden Sie das Gegenteil: Unterschiedliche Prüfsummen bedeuten, dass Sie unterschiedliche Inhalte mit einer Wahrscheinlichkeit von fast 1 erhalten Kryptografische Prüfsummen werden verwendet, um Änderungen in Dateien zu erkennen. Dies können absichtlich böswillige Änderungen oder nur Fehler sein, die beim Herunterladen aufgetreten sind.

Durch die Nutzung unserer Website bestätigen Sie, dass Sie unsere Cookie-Richtlinie und Datenschutzrichtlinie gelesen und verstanden haben.
Licensed under cc by-sa 3.0 with attribution required.